Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Recomendaciones de controles de seguridad para proteger los datos
El AWS Well-Architected Framework agrupa las mejores prácticas para proteger los datos en tres categorías: clasificación de los datos, protección de los datos en reposo y protección de los datos en tránsito. Los controles de seguridad de esta sección pueden ayudarlo a implementar las prácticas recomendadas de protección de datos. Estas prácticas recomendadas fundamentales deben implementarse antes de diseñar las cargas de trabajo en la nube. Evitan el uso incorrecto de los datos y lo ayudan a cumplir con las obligaciones organizativas, normativas y de cumplimiento. Use los controles de seguridad de esta sección para implementar las prácticas recomendadas de protección de datos.
Controles de esta sección:
Identificación y clasificación de los datos por carga de trabajo
Establecimiento de controles para cada nivel de la clasificación de los datos
Bloquear el acceso público a Amazon RDS, Amazon Redshift y los recursos AWS DMS
Exigencia a MFA para eliminar datos de buckets críticos de Amazon S3
Configurar los dominios OpenSearch de Amazon Service en una VPC
Configuración de oyentes de equilibradores de carga para usar protocolos seguros
Identificación y clasificación de los datos por carga de trabajo
La clasificación de datos es un proceso para identificar y clasificar los datos de su red en función de su importancia y sensibilidad. Es un componente fundamental de cualquier estrategia de administración de riesgos de ciberseguridad porque lo ayuda a determinar los controles de protección y retención adecuados para los datos. La clasificación de los datos suele reducir la frecuencia de la duplicación de datos. Esto puede reducir los costos de almacenamiento y copia de seguridad y acelerar las búsquedas.
Recomendamos que comprenda el tipo y la clasificación de los datos que procesa su carga de trabajo, los procesos empresariales asociados, dónde se almacenan los datos y quién es su propietario. La clasificación de los datos ayuda a los propietarios de las cargas de trabajo a identificar las ubicaciones que almacenan información confidencial y a determinar cómo se debe acceder a esos datos y compartirlos. Las etiquetas son pares clave-valor que actúan como metadatos para organizar los recursos. AWS Las etiquetas pueden ayudarlo a administrar, identificar, organizar, buscar y filtrar recursos.
Para obtener más información, consulte los siguientes recursos:
-
Clasificación de datos en documentos técnicos AWS
-
Identifique los datos de su carga de trabajo en AWS Well-Architected Framework
Establecimiento de controles para cada nivel de la clasificación de los datos
Defina los controles de protección de los datos para cada nivel de la clasificación. Por ejemplo, utilice los controles recomendados para proteger los datos clasificados como públicos y proteja la información confidencial con controles adicionales. Use mecanismos y herramientas que reduzcan o eliminen la necesidad de acceder directamente a los datos o procesarlos manualmente. La automatización de la identificación y la clasificación de los datos reduce el riesgo de errores de clasificación o manipulación, modificaciones o errores humanos.
Por ejemplo, considere la posibilidad de utilizar Amazon Macie para escanear información confidencial, como información de identificación personal (PII), en buckets de Amazon Simple Storage Service (Amazon S3). Además, puede automatizar la detección de acceso no deseado a los datos mediante los registros de flujos de la VPC en Amazon Virtual Private Cloud (Amazon VPC).
Para obtener más información, consulte los siguientes recursos:
-
Defina los controles de protección de datos en el AWS Well-Architected Framework
-
Automatización de la identificación y la clasificación en el Marco de AWS Well-Architected
-
AWS La arquitectura de referencia de privacidad (AWS PRA) en AWS una guía prescriptiva
-
Discovering sensitive data with Amazon Macie en la documentación de Macie
-
Registro del tráfico de IP con registros de flujo de la VPC en la documentación de Amazon VPC
-
Se utilizan técnicas comunes para detectar datos de PHI y PII Servicios de AWS
en el blog AWS for Industries
Cifrado de datos en reposo
Los datos en reposo son datos que están estacionarios en la red, como los datos que se encuentran almacenados. La implementación del cifrado y los controles de acceso adecuados para los datos en reposo ayuda a reducir el riesgo de acceso no autorizado. El cifrado es un proceso de computación que transforma datos de texto sin formato, que son legibles por humanos, en texto cifrado. Necesita una clave de cifrado para volver a descifrar el contenido en texto sin formato para que se pueda usar. En el Nube de AWS, puede usar AWS Key Management Service (AWS KMS) para crear y controlar claves criptográficas que ayuden a proteger sus datos.
Como se explica en Establecimiento de controles para cada nivel de la clasificación de los datos, recomendamos crear una política que especifique qué tipo de datos deben cifrarse. Incluya criterios sobre cómo determinar qué datos deben cifrarse y cuáles deben protegerse con otra técnica, como la tokenización o el uso de hash.
Para obtener más información, consulte los siguientes recursos:
-
Configuración del cifrado predeterminado en la documentación de Amazon S3
-
Encryption by default for new EBS volumes and snapshot copies en la documentación de Amazon EC2
-
Cifrado de recursos de Amazon Aurora en la documentación de Amazon Aurora
-
Introduction to the cryptographic details of AWS KMS en la documentación de AWS KMS
-
Creating an enterprise encryption strategy for data at rest en la Guía prescriptiva de AWS
-
Aplique el cifrado en reposo en el marco AWS Well-Architected
-
Para obtener más información sobre el cifrado en concreto Servicios de AWS, consulte la AWS documentación de ese servicio
Cifrado de datos en tránsito
Los datos en tránsito son datos que se mueven de forma activa por la red, por ejemplo, entre los recursos de la red. Cifre todos los datos en tránsito mediante protocolos TLS seguros y conjuntos de cifrado. El tráfico de red entre sus recursos e Internet debe cifrarse para ayudar a prevenir el acceso no autorizado a los datos. Siempre que sea posible, utilice TLS para cifrar el tráfico de red en su entorno interno AWS .
Para obtener más información, consulte los siguientes recursos:
-
Exigir HTTPS para la comunicación entre los espectadores y CloudFront en la CloudFront documentación de Amazon
-
Imponga el cifrado en tránsito en el AWS Well-Architected Framework
-
Para obtener más información sobre el cifrado en concreto Servicios de AWS, consulte la AWS documentación de ese servicio
Bloqueo de acceso público a instantáneas de Amazon EBS
Amazon Elastic Block Store (Amazon EBS) proporciona volúmenes de almacenamiento por bloques para su uso con instancias de Amazon Elastic Compute Cloud (Amazon EC2). Puede realizar copias de seguridad de los datos de sus volúmenes de Amazon EBS en Amazon S3 realizando point-in-time instantáneas. Puede compartir las instantáneas públicamente con todos los demás Cuentas de AWS o puede compartirlas de forma privada con la persona Cuentas de AWS que especifique.
Le recomendamos que no comparta las instantáneas de Amazon EBS públicamente. Esto podría exponer información confidencial de forma inadvertida. Cuando comparte una instantánea, concede a otras personas acceso a los datos de la instantánea. Comparta instantáneas solo con aquellas personas en las que confíe todos sus datos.
Para obtener más información, consulte los siguientes recursos:
-
Share a snapshot en la documentación de Amazon EC2
-
Amazon EBS snapshots should not be publicly restorable en la documentación de AWS Security Hub CSPM
-
ebs-snapshot-public-restorable-consulte la documentación AWS Config
Bloqueo de acceso público a instantáneas de Amazon RDS
Amazon Relational Database Service (Amazon RDS) lo ayuda a configurar, utilizar y escalar una base de datos relacional en la Nube de AWS. Amazon RDS crea y guarda copias de seguridad automatizadas de la instancia de base de datos (DB) o el clúster de base de datos Multi-AZ durante el periodo de copia de seguridad de su instancia de base de datos. Amazon RDS crea una instantánea del volumen de almacenamiento de la instancia de base de datos; para ello, hace una copia de seguridad de toda la instancia de base de datos y no solo de las bases de datos individuales. Puede compartir una instantánea manual para copiarla o restaurar una instancia de base de datos a partir de ella.
Si comparte una instantánea como pública, asegúrese de que ninguno de los datos que contiene sea privado o confidencial. Cuando una instantánea se comparte públicamente, da permiso a todas las Cuentas de AWS para que accedan a los datos. Esto puede provocar una exposición no intencionada de los datos de su instancia de Amazon RDS.
Para obtener más información, consulte los siguientes recursos:
-
Uso compartido de una instantánea en la documentación de Amazon RDS
-
rds-snapshots-public-prohibiteden la documentación AWS Config
-
La instantánea de RDS debe ser privada en la documentación de Security Hub (CSPM).
Bloquear el acceso público a Amazon RDS, Amazon Redshift y los recursos AWS DMS
Puede configurar las instancias de base de datos de Amazon RDS, los clústeres de Amazon Redshift AWS Database Migration Service y las instancias de AWS DMS() replicación para que sean de acceso público. Si el valor del campo publiclyAccessible es true, estos recursos son de acceso público. Permitir el acceso público puede provocar tráfico innecesario, exposición o filtraciones de datos. Le recomendamos que no permita el acceso público a los recursos.
Le recomendamos que active AWS Config las reglas o los controles CSPM de Security Hub para detectar si las instancias de base de datos, las instancias de AWS DMS replicación o los clústeres de Amazon Redshift de Amazon RDS permiten el acceso público.
nota
La configuración de acceso público de las instancias de AWS DMS replicación no se puede modificar una vez aprovisionada la instancia. Para cambiar la configuración de acceso público, elimine la instancia actual y, a continuación, vuelva a crearla. Cuando la vuelva a crear, no seleccione la opción Accesible públicamente.
Para obtener más información, consulte los siguientes recursos:
-
AWS DMS las instancias de replicación no deben ser públicas en la documentación de Security Hub (CSPM)
-
Las instancias de base de datos de RDS deberían prohibir el acceso público en la documentación de Security Hub (CSPM).
-
Los clústeres de Amazon Redshift deberían prohibir el acceso público en la documentación de Security Hub (CSPM).
-
rds-instance-public-access-consulte la documentación AWS Config
-
dms-replication-not-publicen la documentación AWS Config
-
redshift-cluster-public-access-consulte la documentación AWS Config
-
Modificación de una instancia de base de datos de Amazon RDS en la documentación de Amazon RDS
-
Modificación de un clúster en la documentación de Amazon Redshift
Bloqueo del acceso público a buckets de Amazon S3
Es una práctica recomendada de seguridad de Amazon S3 garantizar que los buckets no sean de acceso público. A menos que necesite explícitamente que alguien de Internet pueda leer o escribir en su bucket, debe asegurarse de que no sea público. Esto ayuda a proteger la integridad y la seguridad de los datos. Puede utilizar AWS Config las reglas y los controles CSPM de Security Hub para confirmar que sus buckets de Amazon S3 cumplen con esta práctica recomendada.
Para obtener más información, consulte los siguientes recursos:
-
Prácticas recomendadas de seguridad para Amazon S3 en la documentación de Amazon S3
-
La configuración S3 Block Public Access debe estar habilitada en la documentación de Security Hub (CSPM).
-
Los buckets S3 deberían prohibir el acceso público de lectura en la documentación del Security Hub (CSPM).
-
Los buckets S3 deberían prohibir el acceso de escritura público en la documentación de Security Hub (CSPM).
-
bucket-public-read-prohibited regla s3- en la documentación AWS Config
-
s3- bucket-public-write-prohibited en la AWS Config documentación
Exigencia a MFA para eliminar datos de buckets críticos de Amazon S3
Cuando se trabaja con S3 Versioning en buckets de Amazon S3, puede agregar de forma opcional otra capa de seguridad al configurar un bucket para habilitar la eliminación con MFA (autenticación multifactor). Si lo hace, el propietario del bucket debe incluir dos formas de autenticación en cualquier solicitud para eliminar una versión o cambiar el estado de control de versiones del bucket. Le recomendamos que active esta característica para buckets que contienen datos críticos para la organización. Esto puede evitar la eliminación accidental de buckets y datos.
Para obtener más información, consulte los siguientes recursos:
-
Configurar la eliminación de MFA en la documentación de Amazon S3
Configurar los dominios OpenSearch de Amazon Service en una VPC
Amazon OpenSearch Service es un servicio gestionado que le ayuda a implementar, operar y escalar OpenSearch clústeres en Nube de AWS. Amazon OpenSearch Service es compatible con OpenSearch el software de código Elasticsearch abierto (OSS) heredado. Los dominios de Amazon OpenSearch Service que se implementan en una VPC pueden comunicarse con los recursos de la VPC a través de la AWS red privada, sin necesidad de atravesar la Internet pública. Esta configuración mejora la posición de seguridad porque restringe el acceso a los datos en tránsito. Le recomendamos que no adjunte dominios de Amazon OpenSearch Service a subredes públicas y que la VPC se configure de acuerdo con las prácticas recomendadas.
Para obtener más información, consulte los siguientes recursos:
-
Cómo lanzar tus dominios OpenSearch de Amazon Service dentro de una VPC en la documentación de Amazon OpenSearch Service
-
opensearch-in-vpc-onlyen la documentación AWS Config
-
OpenSearchlos dominios deben estar en una VPC en la documentación de Security Hub (CSPM)
Configure las alertas para su eliminación AWS KMS key
AWS Key Management Service (AWS KMS) las claves no se pueden recuperar una vez eliminadas. Si se elimina una clave de KMS, los datos cifrados con esa clave tampoco se pueden recuperar permanentemente. Si necesita retener el acceso a los datos, antes de eliminar la clave, debe descifrarlos o volver a cifrarlos con una clave de KMS nueva. Debe eliminar una clave KMS solo cuando esté seguro de que ya no necesita usarla.
Le recomendamos que configure una CloudWatch alarma de Amazon que le notifique si alguien inicia la eliminación de una clave de KMS. Dado que eliminar una clave de KMS es destructivo y potencialmente peligroso, es AWS KMS necesario establecer un período de espera y programar la eliminación en 7 a 30 días. De este modo, tiene la oportunidad de revisar la eliminación programada y cancelarla si es necesario.
Para obtener más información, consulte los siguientes recursos:
-
Scheduling and canceling key deletion en la documentación de AWS KMS
-
Crear una alarma que detecte el uso de una clave KMS pendiente de ser eliminada en la documentación AWS KMS
-
AWS KMS keys no debe borrarse involuntariamente en la documentación de Security Hub (CSPM)
Bloquee el acceso público a AWS KMS keys
Las políticas de claves son la forma principal de controlar el acceso a AWS KMS keys. Cada clave KMS tiene exactamente una política de claves. Permitir el acceso anónimo a claves de KMS puede provocar una filtración de información confidencial. Le recomendamos que identifique las claves de KMS que sean accesibles públicamente y actualice sus políticas de acceso para evitar que se envíen solicitudes sin firmar a estos recursos.
Para obtener más información, consulte los siguientes recursos:
-
Las mejores prácticas de seguridad AWS Key Management Service figuran en la AWS KMS documentación
-
Cambiar una política clave en la AWS KMS documentación
-
Determinar el acceso AWS KMS keys a la AWS KMS documentación
Configuración de oyentes de equilibradores de carga para usar protocolos seguros
Elastic Load Balancing distribuye automáticamente el tráfico entrante de aplicaciones entre varios destinos. Puede configurar el equilibrador de carga para que acepte el tráfico entrante especificando uno o varios oyentes. Un oyente es un proceso que comprueba las solicitudes de conexión utilizando el protocolo y el puerto configurados. Cada tipo de equilibrador de carga admite distintos protocolos y puertos:
-
Los equilibradores de carga de aplicación toman las decisiones de enrutamiento en la capa de aplicación y utilizan los protocolos HTTP o HTTPS.
-
Los equilibradores de carga de red toman las decisiones de enrutamiento en la capa de transporte y utilizan los protocolos TCP, TLS, UDP o TCP_UDP.
-
Los equilibradores de carga clásicos toman las decisiones de enrutamiento en la capa de transporte (mediante los protocolos TCP o SSL), o en la capa de aplicación (mediante los protocolos HTTP o HTTPS).
Le recomendamos que utilice siempre los protocolos HTTPS o TLS. Estos protocolos garantizan que el equilibrador de carga sea responsable de cifrar y descifrar el tráfico entre cliente y destino.
Para obtener más información, consulte los siguientes recursos:
-
Listeners for your Application Load Balancers en la documentación de Elastic Load Balancing
-
Listeners for your Classic Load Balancer en la documentación de Elastic Load Balancing
-
Listeners for your Network Load Balancers en la documentación de Elastic Load Balancing
-
Asegúrese de que los balanceadores de AWS carga utilicen protocolos de escucha seguros en AWS la Guía prescriptiva
-
elb-tls-https-listeners-solo en la documentación AWS Config
-
Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS en la documentación de Security Hub (CSPM).
-
Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS en la documentación de Security Hub (CSPM).
